A notícia já tem mais de 6 meses, mas só ontem é que soube. A Microsoft comprou a Sysinternals e agora o Mark Russinovich trabalha para o demo.
Para quem não sabe o que é a Sysinternals, o post não interessa para nada, passem ao próximo. Para quem sabe, acho que não é preciso dizer mais nada. Antes de clicar no link, olhem para o endereço na vossa "status bar".
www.sysinternals.com
Ainda estou para perceber se isto vai ser mau, muito mau, ou o fim da humanidade como a conhecemos. O que sei é que ontem precisava mesmo do RegMon e quando fui buscá-lo deparei-me com o cenário de catástrofe.
(malta que não sabe nem quer saber o que é um rootkit ou browser hijacking: podem parar de ler aqui!)
Precisei do RegMon porque parece que os senhores da Sony, não contentes com os Rootkits que desenvolvem para impedir as cópias dos CD's da Sony Music, agora fazem browser hijacking nos seus próprios portáteis: um Vayo comprado a semana passada tem como homepage a página do clube Vayo; mudo para o Google e imediatamente ela é mudada de volta; mudo a chave no registry e volta imediatamente ao que era; corro o HijackThis, faço o scan, corrijo a chave e volta ao mesmo; e nem consigo ver mais nada que possa estar a fazer este lindo serviço;
O rootkit da Sony servia para esconder qualquer ficheiro cujo nome começasse por $sys$; nomeadamente para esconder um novo driver de CD que seria assim impossível de esconder e este driver iria impedir/limitar a cópia de CD's. Claro que um rootkit assim tão bem construído também permite esconder outras coisas! Em vez de chamar "virus.exe" ao meu novo virus xpto que põe o monitor a cor-de-rosa e passa a escrever e-mails em suahili, posso chamar-lhe "$sys$virus.exe" e nem a interface do Windows, nem o anti-virus, nem virtualmente nada o vai conseguir encontrar. Hmmmmm, que já me sinto mais seguro! Tudo a bem da protecção dos direitos comerciais da editora, que obviamente se sobrepoem aos meus direitos, claro.
Agora, a parte gira: a forma trivial de descobrir se o rootkit está ou não a funcionar é renomear um ficheiro qualquer, acrescentar um $sys$ no início do nome e ver se ele simplesmente desaparece. O exemplo que se costuma encontrar diz para renomear o notepad.exe para $sys$notepad.exe. Ficamos logo a saber. E vai daí, eu pensei: algo está a correr que monitoriza a home page e muda-a sempre que necessário, mas pior seria se este bicho estivesse escondido. Vai daí, abro a pasta do Windows, pego no notepad.exe e renomeio-o; não, ele não desapareceu. Ok, se há um rootkit ele é diferente. Volto a renomear para "notepad.exe" e descubro que não é possível, porque já existe um ficheiro "notepad.exe". Agora, pára tudo!!! Eu pego no ficheiro, mudo-lhe o nome e automaticamente aparece uma cópia do ficheiro com o nome original? Hmmmm... já tamos a perceber as implicações?
Moral da história: desconfio que os portáteis Sony vêm com spyware (no fundo é disso que se trata) feito pela própria marca, escamoteado por um rootkit mais sofisticado que o original, impedindo o utilizador de modificar algumas definições, nomeadamente, a homepage (e quando tento um URL inexistente, abre um Google "sonyficado" com quilos de auto-publicidade, em vez do habitual "not found").
O modelo: Sony Vaio VGN-FE21M, comprado há uma semana. Há um ano comprei um Sony Vaio VGN-FE21B e o comportamento não é o mesmo. Isto só me deixa feliz por ter escolhido um Fujitsu-Siemens Amilo Si1520 como novo portátil (deve chegar para a semana) em vez do Sony Vaio VGN-C1Z. Além de que com o Amilo ganho em CPU (T7200 versus T5600), em portas USB (4 versus 2), em tamanho (12.1" versus 13.3") em peso (1.7kg versus 2.3 kg) e em autonomia anunciada (220 minutos versus 160 minutos) e não perco nada, nem
Bem para a semana vou voltar a pegar no computador e vou procurar o bicho novo da Sony. Quando o descobrir aviso.
Subscrever:
Enviar feedback (Atom)
4 comentários:
Confesso, não percebi nada durante algum tempo e estive quase a seguir os conselhos e desistir.
Mas li tudo e fiquei a perceber.
Para o mexilhão que não percebe nada disto, que se limita a carregar no botão e nas teclas, tudo o que faz, diz, pesquisa etc, etc, está a ser monitorizado.
é a versão moderna do Triunfo dos Porcos
É pá, eu quando comprei o meu portátil, a primeira coisa que fiz com ele foi... formatar o disco e instalar tudo de novo, assim sei o que lá tenho ;)
Lamento desfazer o mito, mas o teu rootkit que cria a cópia do Notepad.exe já tem um nome: Windows File Protection. E pelos vistos é uma feature. Fixe, por estas e por outras mudei para o OSX.
O que não explica o comportamento do browser mesmo assim. É no IE? Acontece o mesmo com o Firefox? Pode ser um processo qualquer, tenta desligar todos o que não conheces e repetir a experiência ;)
anónimo: pode não ser tanto assim, mas já faltou mais.
delphinus: nem sempre isso é uma opção. e como o portátil em questão não é meu... mas sim, eu também prefiro formatar e fazer uma instalação "limpa". a chatice é que é complicado sacar oem's, e uma versão full não corre com o license number da oem.
rui: então porque raio é que o pc onde estou neste momento não faz a mesma coisa, tendo à mesma um Win XP SP2? De qualquer modo, como só vou voltar a pegar no bicho para a semana, ainda não consegui averiguar mais nada. mas obrigado pela informação. quanto ao firefox, ainda não o instalei para testar; quanto aos processos, vi alguns, não tive tempo de ver todos. para evitar coisas que não devo, e porque são mais de 50 processos, o que faço é correr o Regmon. Mudo a chave do registry e ele diz-me quem é que voltou a mexer nela e para fazer o quê. tenho aqui algues a versão não microsoftizada.
Enviar um comentário